« L’AFCDP étant au plus proche des préoccupations quotidiennes des DPO, l’association propose avec ce Baromètre de prendre un peu de recul sur 3 questions clés par trimestre : le sentiment de l’évolution de la conformité des organisations, une question technique et une question plus d’actualité. Avec 235 répondants, nous sommes heureux de partager ces résultats et d’en étudier l’évolution à l’avenir. », commente Paul-Olivier Gibert, Président de l’AFCDP.

Avez-vous confiance dans la protection des données privées au sein de vos organisations ?

Il est manifeste que les DPO et les professionnel(le)s de la protection des données personnelles ont majoritairement (52% versus 54 % au 1er trimestre) le sentiment qu’il y a encore du chemin à faire avant de considérer leurs organisations comme conformes au RGPD et autres mesures de protection des données privées. A noter que 13 % des répondants jugent que les réglementations changeantes (chute du Privacy Shield, Cookies Wall, etc.) perturbent les stratégies de protection des données personnelles mises en place jusqu’ici. Cependant, il est très positif de noter que 30 % des répondants se sentent écoutés et utiles, indicatif qu’il sera utile de suivre sur les prochaines éditions.

Presque un an après l’annulation du Privacy Shield, avez-vous fait le choix de rapatrier des traitements de données critiques ou métiers en Europe ?

La majorité des répondants (52 %) ne sont pas encore à l’aise avec l’impact de la chute du Privacy Shield et n’ont pas encore organisé l’éventuel rapatriement du traitement de leurs données critiques ou métiers en Europe. Si le jugement de la CJUE a invalidé le « Privacy Shield », il n’a pas interdit le recours aux CCT. Il a cependant tenu à préciser comment interpréter la notion de « garanties appropriées » exigées par l’article 46 du RGPD en indiquant que lors d’un transfert de données, « les garanties appropriées, les droits opposables et les voies de droit effectives […] doivent assurer que les droits des personnes […] bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne […] » et que « l’évaluation du niveau de protection […] doit, notamment, prendre en considération […] en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers […] les éléments pertinents du système juridique de celui-ci ». La Commission européenne a donc proposé de réviser ces CCT en conséquence.
Cette évolution était très attendue, en particulier par les Délégués à la protection des données, impatients de disposer d’un outil fiable pour assurer la conformité des transferts. Plus particulièrement vers les États-Unis d’où sont issues les multiples solutions technologiques sur lesquelles s’appuient les entreprises, comme les suites collaboratives ou l’hébergement externalisé de données.

Le projet de nouvelles CCT a fait l’objet de réserves de la part du CEPD/EDPB (le comité des CNIL européennes) et du CEPD/EDPS (le DPO des instances européennes), et dans une résolution adoptée le 20 mai 2021 à une très large majorité, le Parlement européen attirait l’attention de la Commission européenne sur ces réserves et formulait des recommandations importantes. Comme la CNIL le résume dans sa FAQ sur les nouvelles CCT, celles-ci prennent en compte la législation du pays tiers de destination des transferts de données : « Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite “ Schrems II ” et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets. »

On ne peut pas être plus clair : c’est bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées.

Est-il prévu un suivi du degré de vaccination des équipes au sein de votre organisation ?

Le retour au bureau se fait au final plus rapidement qu’initialement imaginé. Nombreuses sont les mesures sanitaires déjà intégrées dans les organisations, alors comment gérer l’entrée en vigueur du pass sanitaire et de la généralisation de la vaccination ? Et les enjeux de protection des données personnelles liés ? Au final, la majorité des répondants (51 %) ne considèrent pas que le suivi de la vaccination soit pertinent dans leur organisation. Mais cela dépend aussi peut-être du type d’organisation, car 12 % des répondants ont tout de même confirmé effectuer un suivi.

Méthodologie
Dans le cadre de son Baromètre trimestriel, l’AFCDP a mené une enquête en ligne auprès de ses 6000 membres entre le 10 et le 21 juin 2021, via le réseau social privé de l’association (215 répondants) et sa page LinkedIn (60 répondants).